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Google Ireland Ltd. z siedzibą w Irlandii (Gordon House, Barrow Street, Dublin, D04 E5W5, 
Dublin) 


SKARGA 
NA NIEZGODNE Z PRAWEM PRZETWARZANIE DANYCH OSOBOWYCH 


Niniejszym, na podstawie art. 61 ustawy z 10 maja 2018 r. o ochronie danych osobowych w zw. 
z art. 80 i art. 77 Rozporządzenia Parlamentu i Rady (UE) nr 2016/679 - ogólne rozporządzenie 
o ochronie danych osobowych (dalej: RODO), działając w imieniu Katarzyny Szymielewicz 
(dalej: Skarżąca) (umocowanie stanowi Załącznik nr 1 do pisma), Fundacja Panoptykon: 


1. składa skargę na niezgodne z przepisami RODO przetwarzanie danych osobowych przez 
Google Ireland Ltd. z siedzibą w Irlandii (Gordon House, Barrow Street, Dublin, D04 
E5W5, Dublin). Podmiot ten przetwarza dane Skarżącej z naruszeniem przepisów art. 5, 
6, 9, 12, 13, 24 i 25 RODO (szczegółowy opis stanu faktycznego i naruszeń znajduje się 
w uzasadnieniu). 


Fundacja Panoptykon | ul. Orzechowska 4 lok. 4 | 02-068 Warszawa 
e: fundacjaQpanoptykon.org | t: +48 660 074 026 | w: panoptykon.org 


2. 


wnosi o nakazanie Administratorowi, zgodnie z art. 58 ust. 2 lit. d) RODO, dostosowania 
operacji przetwarzania do przepisów RODO; 


dodatkowo wnosimy o rozważenie: 


3. 


4. 


podjęcia współpracy z organami nadzorczymi z innych państw członkowskich w trybie 
przewidzianym w art. 62 RODO 


zastosowania, zgodnie z art. 58 ust. 2 lit. i) RODO, administracyjnej kary pieniężnej. 


UZASADNIENIE 


Wprowadzenie 


Fundacja Panoptykon jest organizacją pozarządową, której działalność nie ma 
charakteru zarobkowego. Fundacja posiada siedzibę w Warszawie przy 
ul. Orzechowskiej 4/4 oraz wpisana jest do rejestru stowarzyszeń, innych organizacji 
społecznych i zawodowych, fundacji oraz publicznych zakładów opieki zdrowotnej i do 
rejestru przedsiębiorców prowadzonych przez Sąd Rejonowy dla m.st. Warszawy, 
Wydział XII Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 
0000327613. Cele statutowe Fundacji leżą w interesie publicznym i dotyczą m.in. działań 
w dziedzinie praw i wolności osób, których dane dotyczą. Odpis aktualny KRS stanowi 
Załącznik nr 2, a Statut Fundacji stanowi Załącznik nr 3. Fundacja Panoptykon 
reprezentuje p. Katarzynę Szymielewicz na podstawie umocowania udzielonego na 
podstawie art. 80 ust. 1 RODO udzielonego w dniu 25 stycznia 2019 r. 


Niniejsza skarga (dalej: Skarga) dotyczy funkcjonowania rynku reklamy behawioralnej 
i związanych z nim naruszeń: artykułu 5, 6, 9, 12, 13, 24 i 25 RODO. 


Naruszenia przepisów mają charakter masowy i dotyczą nie tylko Skarżącej, ale 
większości użytkowników Internetu. Z tego powodu wnosimy o rozpatrzenie niniejszej 
Skargi w kontekście szerokiej skali naruszeń, a także o podjęcie systemowych działań 
zmierzających do zapewnienia ochrony użytkowników Internetu przed naruszeniami 
reżimu ochrony danych przez Google jako jeden z dwóch (obok Interactive Advertising 
Bureau - IAB) podmiotów decydujących o kształcie i sposobie funkcjonowania rynku. 


Jednocześnie zwracamy uwagę Prezesa na to, że analogiczna skarga została złożona 
w imieniu p. Szymielewicz na IAB Europe - drugi podmiot, który dyktuje warunki 
na rynku reklamy behawioralnej poprzez strukturę o nazwie OpenRTB. Ze względu 
na podobieństwo zgłaszanych zastrzeżeń i systemowy charakter problemu uważamy 
za zasadne rozpatrzenie obu skarg wspólnie. 


W odniesieniu do pkt. 3 petitum Skargi, wnosimy o dołączenie do irlandzkiego 
i brytyjskiego dochodzenia przeciwko temu podmiotowi w trybie art. 62 RODO. 
Sygnatura postępowania przed Data Protection Commissioner w Irlandii to: C-18-10-91, 
z kolei postępowanie przed ICO w Wielkiej Brytanii prowadzone jest pod sygnaturą: 
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Il. 


10. 


11. 


RFA0785480. Zgodnie z informacjami otrzymanymi od irlandzkiego DPC, sprawa zostata 
podniesiona również na forum Europejskiej Rady Ochrony Danych. Postępowania te 
zostały zapoczątkowane przez wystąpienia i skargi dra Johnny'ego Ryana, Chief Policy 
Officer w firmie Brave, Jima Killocka, Dyrektora Wykonawczego brytyjskiej organizacji 
Open Rights Group i Michaela Veale'a z University College London. Treść wystąpień 
w języku angielskim stanowi Załącznik nr 4. 


Dodatkowo, 8 listopada 2018 r. Fundacja Panoptykon, wspólnie z brytyjską organizacją 
Privacy International wystąpiła do Prezesa Urzędu Ochrony Danych Osobowych 
o podjęcie działań wobec podmiotów zajmujących się odsprzedażą danych na rynku 
reklamy behawioralnej (tzw. brokerów danych). W piśmie z 10 stycznia 2019 r. Urząd 
poinformował nas o swoich działaniach. Sprawa została opatrzona sygnaturą 
ZSPR.027.354.2018.LS.1.26281 (odpowiedź Prezesa UODO na wystąpienie stanowi 
Załącznik nr 5). 


Kluczowe problemy 


Fundamenty rynku reklamy behawioralnej tworzą dwa główne systemy, które 
funkcjonują w tzw. modelu real-time bidding (RTB, w wolnym tłumaczeniu: licytacja w 
czasie rzeczywistym): 


a. „OpenRTB” - stworzony przez IAB system powszechnie wykorzystywany w 
branży mediów i reklamy; 


b. „Authorized Buyers” - własnościowy system RTB Google'a funkcjonujący 
równolegle do OpenRTB, nazwa ta zastąpiła system znany dotychczas pod nazwą 
„DoubleClick Ad Exchange”. 


Niniejsza skarga dotyczy systemu Authorized Buyers (dalej: System), którego autorem 
jest Google. Systemu OpenRTB, z uwagi na innego administratora, dotyczy oddzielna 
skarga p. Szymielewicz. 


Celem Systemu jest wyświetlanie użytkownikom spersonalizowanej reklamy na 
portalach internetowych w drodze licytacji na giełdzie reklam. 


Przedmiotem licytacji na giełdzie reklam jest tzw. impresja, czyli pojedyncze 
wyświetlenie spersonalizowanej reklamy konkretnemu użytkownikowi w konkretnym 
miejscu. W licytacji na giełdzie reklam uczestniczą dwie grupy podmiotów: platformy 
podaży (Supply-Side Platform, SSP), których zadaniem jest - na zlecenie wydawców 
(portali internetowych) - wystawić dostępną impresję na sprzedaż, oraz platformy 
popytu (Demand-Side Platform, DSP), działające na zlecenie reklamodawców, których 
zadaniem jest składanie ofert w licytacji i zakup impresji. W komunikacji pomiędzy tymi 
platformami pośredniczy giełda reklam - jej zadania polegają na przyjęciu zgłoszenia 
(tzw. bid request) od platformy SSP, rozesłaniu go do współpracujących z nią platform 
DSP, przyjmowaniu ofert w licytacji i wyborze zwycięzcy. 


Cały wyżej opisany proces odbywa się w pełni automatycznie (w tzw. modelu 
programmatic) i jednorazowo angażuje nawet setki podmiotów. Bid request, czyli 
zapytanie wysyłane przez platformę SSP na giełdę reklam i rozpowszechniane następnie 


12. 


13. 


14. 


do platform DSP, zawiera liczne dane o użytkowniku: identyfikator użytkownika, tzw. 
full referral URL (zob. pkt poniżej) oraz wszelkie inne dane, które posiada platforma SSP: 
rok urodzenia, płeć, zainteresowania, lokalizacja, numer IP i inne. 


Full referral URL zawiera link do strony, na której załadowanie czeka użytkownik oraz 
treść wyszukiwania lub adres, z którego użytkownik trafił na stronę. Tym informacjom 
towarzyszy "nadana przez wydawcę kategoria strony, określona w oparciu 
oustandaryzowany katalog (taksonomię) stworzony Google na potrzeby Systemu. 
Kategoria nadana stronie może ujawniać bardzo wrażliwe dane o użytkowniku. Niektóre 
z kilkuset kategorii stworzonych przez Google to: uzależnienia, ciąża, lewicowy lub 
prawicowy światopogląd, AIDS & HIV itd. Szersza lista kategorii stosowana przez Google 
jest częścią raportu technicznego stanowiącego Załącznik nr 6. 


Dokładny opis technicznych aspektów funkcjonowania Systemu stanowi Załącznik nr 6 
(zawierający tzw. Ryan Report - anglojęzyczny raport przygotowany przez dra 
Johnny'ego Ryana na potrzeby postępowania przed irlandzkim i brytyjskim organem 
nadzorczym, ze wstępem Fundacji Panoptykon). 


W naszej opinii z funkcjonowaniem Systemu związane są trzy kluczowe problemy: 


a. Po pierwsze, branża, której pierwotnym celem było świadczenie usług doboru 
spersonalizowanej reklamy, przerodziła się w system masowego 
rozpowszechniania danych oparty na: 


i. gromadzeniu szerokiego zakresu danych o jednostkach, znacznie 
przekraczającego zakres danych wymaganych do dopasowania reklamy; 


ii. przekazywaniu tych danych ogromnej liczbie podmiotów trzecich, które 
następnie wykorzystują dane w celach wykraczających poza te, które 
podmiot danych jest w stanie w pełni zrozumieć i w stosunku do których 
jest on w stanie wyrazić zgodę lub sprzeciw. 


W naszej opinii to wszechobecne i ingerujące w prywatność profilowanie 
użytkowników i rozpowszechnianie danych, odbywa się z naruszeniem 
przepisów RODO. 


b. Po drugie, System uniemożliwia kontrolę dalszego rozpowszechniania 
udostępniania danych osobowych po tym, jak dane zostaną 
rozpowszechnione po raz pierwszy. Sama liczba odbiorców danych powoduje, 
że podmiot rozpowszechniający dane (tj. wydawca za pośrednictwem platformy 
SSP) nie jest w stanie zapobiec nieautoryzowanemu dalszemu przetwarzaniu 
danych, ani prawidłowo poinformować podmiotów danych o wszystkich 
odbiorcach. Dane przekazywane są do wielu podmiotów, których celem jest 
łączenie danych z różnych źródeł i w konsekwencji tworzenie szczegółowych 
profili jednostek bez ich wiedzy i zgody. Google ułatwia tę praktykę 
inie przewiduje odpowiednich gwarancji mających na celu zapewnienie 
integralności i poufności danych. Sam sposób zaprojektowania Systemu 
i przyjęte Środki techniczne i organizacyjne pokazują, że naruszenia 
prywatności są immanentnie wpisane w jego funkcjonowanie, naruszając 
tym samym przewidzianą w RODO zasadę privacy by design. 


Dodatkowo, osoby, których dane dotyczą, zazwyczaj nie wiedzą, czy i do kogo 
ich dane zostały przekazane - ze względu na trudności zidentyfikacją 
właściwych firm, jak i identyfikatorów użytkowników, którymi się posługują, 
realizacja prawa dostępu do danych jest w praktyce niemożliwa. Nie wiadomo 
również, czy podmioty te w ogóle stworzyły procedury, których celem jest 
ułatwienie realizacji praw przez osoby, których dane dotyczą. 


c. Po trzecie, rozpowszechniane dane mogą zawierać dane szczególnie 
chronione. Jak wspominamy wyżej, bid request zawiera m.in. link strony, na 
której użytkownik czeka na wyświetlenie reklamy oraz jej kategorię. Jak 
pokazuje przywołane przez nas przykładowe kategorie, strony przeglądane 
przez użytkowników mogą wskazywać na ich orientację seksualną, pochodzenie 
etniczne, poglądy polityczne itd. Te dane mogą być dostępne bezpośrednio lub 
zostać w łatwy i skuteczny sposób wywnioskowane za pomocą współczesnych 
technik analitycznych. Prędkość, z jaką następuje licytacja na giełdzie reklam 
(ok. 200 ms) powoduje, że dane wrażliwe są rozpowszechniane bez zgody 
użytkownika oraz poza jakąkolwiek kontrolą (również poza kontrolą podmiotu 
rozpowszechniającego dane). 


III. Standardy i procedury 


15. Dominująca pozycja rynkowa Google'a umożliwiła mu utworzenie własnościowego 
systemu Authorized Buyers oraz własnych standardów i procedur regulujących rynek. 


16. System Authorized Buyers funkcjonuje przede wszystkim w oparciu o „Guidelines”1 
(dalej: Wytyczne), które budzą nasze liczne wątpliwości. 


17. Po rozpowszechnieniu danych administrator (Authorized Buyer) traci kontrolę nad 
danymi, a podmiot trzeci (Buyer) cieszy się swobodą w decydowaniu o tym, jak dane 
będą wykorzystywane. Istniejące ograniczenia mają charakter wyłącznie umowny i 
nie jest jasne, wjakim stopniu są lub mogą być egzekwowane. Por. poniższy 
fragment Wytycznych: 


RTB Callout Data Restriction. 


Buyer may store the encrypted cookie ID and mobile advertising identifier for the 
purpose of evaluating impressions and bids based on user-data previously obtained 
by the Buyer. All other callout data except for Location Data may be retained by 
Buyer after responding to an ad call for the sole purpose of forecasting the 
availability of inventory through the Authorized Buyers program. Buyer is 
permitted to retain callout data only for the length of time necessary to fulfill the 


relevant purposes stated above, and in any event, for no longer than 18 months. 





18. Ponadto, nie jest jasne, czy i jakie ograniczenia dotyczą podmiotu, który wygrał 
licytację — przewidziane przez Wytyczne ograniczenia odnoszą się tylko i wyłącznie do 
podmiotów, które brały udział w licytacji, ale jej nie wygrały: 


' https://www.google.com/doubleclick/adxbuyer/guidelines.html. 
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Unless Buyer wins a given impression, it must not: (i) use callout data for that 
impression to create user lists or profile users; (ii) associate callout data for that 


impression with third party data; or (iii) share rate card data in any form, 
including but not limited to aggregate form, with third parties. 


19. Wytyczne przerzucają odpowiedzialność za ochronę danych z administratora 
danych na podmioty trzecie. Co więcej, egzekwowanie obowiązku ochrony danych 
zależy wyłącznie od tego, czy podmiot trzeci z własnej inicjatywy zgłosi się do 
administratora. Por. poniższy fragment Wytycznych: 


Data Protection 


If Buyer accesses, uses, or processes personal information made available by Google 
that directly or indirectly identifies an individual and that originated in the 
European Economic Area ('Personal Information”), then Buyer will: 





- comply with all privacy, data security, and data protection laws, directives, 
regulations, and rules in any applicable jurisdiction; 


- use or access Personal Information only for purposes consistent with the 
consent obtained by the individual to whom the Personal Information relates; 


- implement appropriate organizational and technical measures to protect the 
Personal Information against loss, misuse, and unauthorized or unlawful access, 
disclosure, alteration and destruction; and 


- provide the same level of protection as is required by the EU-US Privacy Shield 
Principles. 


Buyer will regularly monitor your compliance with this obligation and immediately 
notify Google in writing if Buyer can no longer meet (or if there is a significant risk 
that Buyer can no longer meet) this obligation, and in such cases Buyer will either 
cease processing Personal Information or immediately take other reasonable and 








appropriate steps to remedy the failure to provide an adequate level of protection. 


20. Podsumowując, Wytyczne Google umożliwiają niekontrolowane rozpowszechnianie 
danych do podmiotów trzecich. 


IV. Rola Google na rynku reklamy behawioralnej 


21. Przetwarzanie danych osobowych 





a. Zgodnie z art. 4 RODO, za dane osobowe uważa się informacje 
o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Do 
kategorii danych osobowych należy także identyfikator internetowy w sytuacji, 
w której pozwala zidentyfikować jednostkę, bezpośrednio lub pośrednio (tzw. 
koncepcja single out2). 


* Por. opinię Grupy Roboczej Art. 29 w sprawie definicji danych osobowych, WP 136. 
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b. Podstawowym identyfikatorem użytkownika w Internecie jest plik cookie, 
jednak coraz częściej do śledzenia użytkowników wykorzystywany jest także 
tzw. odcisk palca przeglądarki (browser fingerprint). 


c. W modelu RTB dane osobowe użytkowników są przetwarzane 
i rozpowszechniane nie tylko w postaci internetowych identyfikatorów, takich 
jak pliki cookie, ale również w postaci numeru IP3, a także bardziej 
szczegółowych danych, takich jak link do strony, na której użytkownik czeka na 
wyświetlenie reklamy oraz treść wyszukiwania lub link, z których użytkownik 
trafił na tę stronę, kategoria nadana stronie (może ujawniać dane wrażliwe, np. 
kategoria „uzależnienia”), lokalizacja, rok urodzenia czy zainteresowania 
użytkownika‘. 


22. Google jako administrator danych 


a. Biorąc pod uwagę definicję administratora danych jako podmiotu, który ustala 
cele i sposoby przetwarzania danych, orzecznictwo Trybunału Sprawiedliwości 
UE, które opowiada się za szeroką interpretacją tego pojęcia” oraz opinie Grupy 
Roboczej Art. 296, uważamy, że Google znajduje się w pozycji administratora 
danych osobowych. 


b. Google to jeden z dwóch (obok IAB) wiodących aktorów na rynku reklamy 
behawioralnej, który organizuje, koordynuje i rozwija rynek poprzez 
tworzenie specyfikacji API (interfejsu programistycznego) wykorzystywanego 
przez firmy uczestniczące w licytacjach na giełdach reklam (System). 
Specyfikacjom towarzyszą zasady ich stosowania: omówione wyżej Wytyczne. 


c. Google posiada pełną kontrolę nad tym, jak zaprojektowany jest ijak działa 
rynek reklamy behawioralnej funkcjonujący w ramach Systemu, a więc 
samodzielnie decyduje o tym, w jaki sposób przetwarzane będą dane 
osobowe, np. przez określanie jakie elementy musi zawierać tzw. bid request, 
czyli zapytanie o składanie ofert na giełdzie reklam. 


d. Fakt, że Google” nie ma bezpośredniego dostępu do danych jest nieistotny. 
W wyroku w sprawie Jehovan todistajat8, Trybunał Sprawiedliwości UE orzekł, 
że wspólnota religijna Świadków Jehowy, gromadząca informacje o swoich 
członkach (w odróżnieniu od informacji o osobach odwiedzanych przez 
członków), poprzez tworzenie wytycznych i map staje się współadministratorem 


* Trybunał Sprawiedliwości UE potwierdził, że adres IP może stanowić daną osobową, por. wyrok w sprawie 
Breyer, C-582/14. 

* Por. techniczny opis „bid request” w Załączniku nr 2. 

* Por. wyrok w sprawie Jehovan todistajat, C-25/17, par. 21 oraz wyrok w sprawie Wirtschaftsakademie, C- 
210/16. 

W opinii 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” (WP 169) Grupa Robocza Art. 29 
wskazała, że jeden ze sposobów ustalenia, czy dany podmiot jest administratorem, tj. ocena w oparciu o 
faktyczny wpływ tego pomiotu na przetwarzanie danych, może być szczególnie przydatny „w skomplikowanych 
środowiskach, korzystających często z nowych technologii informacyjnych, w których odpowiednie podmioty są 
często skłonne postrzegać się jako „pośrednicy”, a nie jako odpowiedzialni administratorzy danych”. 

1 Warto jednak wziąć pod uwagę to, ze Google funkcjonuje nie tylko jako nieformalny regulator tego rynku, ale 
także jako jego uczestnik — zarówno po stronie podaży, jak i po stronie popytu. 

8 C-25/17, op.cit. 


danych osób odwiedzanych przez swoich członków, mimo że nie wchodzi z nimi 
w bezpośrednią interakcję i nie ma dostępu do tych danych. 


e. Ten przypadek można wprost porównać do Google, ponieważ ich rolą również 
jest dostarczenie wytycznych i specyfikacji firmom uczestniczącym 
w licytacjach na giełdach reklam. Google posiada, tak jak wspólnota będąca 
przedmiotem analizy TSUE, ogólną wiedzę o tym, że przetwarzanie danych ma 
miejsce i zna jego cel (dopasowanie reklamy w modelu RTB) oraz organizuje 
i koordynuje działalność swoich członków poprzez zarządzanie Systemem”. 


f. Argument, że stworzony przez Google Systemy to jedynie techniczny protokół, 
który nie nakazuje poszczególnym firmom przetwarzać danych, jest nietrafiony 
i niezgodny z prawdą. System umożliwia i ułatwia przetwarzanie 
irozpowszechnianie danych, z uwagi na to, że związane z nim protokoły 
zawierają pola zaprojektowane tak, aby dochodziło do przekazywania danych, 
w tym danych wrażliwych (por. Załącznik nr 6). 


23. Przetwarzanie danych osobowych Skarżącej 


a. Poza skrzynką mailową w należącym do Google serwisie Gmail, Skarżąca nie 
znajduje się w bezpośrednim stosunku z tym podmiotem. 


b. W świetle powyższych uwag dotyczących funkcjonowania Systemu, roli Google 
jako administratora danych na rynku reklamy behawioralnej i zarzutów 
naruszeń RODO opisanych poniżej, chcemy jednak zauważyć, że istotą 
funkcjonowania Systemu jest to, że podmiot danych, w tym Skarżąca, nie 
ma wiedzy o tym, jakie dokładnie dane osobowe na jej temat są 
przetwarzane, przez jakie podmioty, w jakich celach i jak długo. Skarżąca 
nie jest w stanie podać dokładnego zakresu danych osobowych, których 
administratorem jest Google, ani dokładnego zakresu procesów przetwarzania 
właśnie z tego powodu, że podmiot ten nie poinformował Skarżącej, jakie dane 
i przez jakie podmioty będą przetwarzane. 


c. Powyższe uwagi i raport stanowiący Załącznik nr 6 mają na celu wykazanie, że 
skala transakcji w modelu RTB jest ogromna. Licytacje w modelu RTB odbywają 
się w sposób ciągły, na niemalże każdej stronie internetowej odwiedzanej przed 
użytkownika. Dane osobowe są zatem rozpowszechniane w ramach Systemów 
RTB z wysoką częstotliwością iz dużą prędkością. Raport wskazuje również, 
jakie dane rozpowszechniane są w ramach Systemu. Biorąc pod uwagę 
powszechność wykorzystywania Systemu, regularne rozpowszechnianie 
również danych osobowych Skarżącej jest nieuniknione. 


V. Problemy prawne zwiazane z Systemem 





? Por. pkt 71 wyroku: „Ponadto wspólnota świadków Jehowy nie tylko ma, ogólnie rzecz biorąc, wiedzę na 
temat tego, że takie przetwarzanie odbywa się dla celów propagowania jej wiary, lecz także organizuje 

i koordynuje działalność kaznodziejską swoich członków, w szczególności poprzez podział obszarów 
aktywności pomiędzy poszczególnych głosicieli”. 


24. Zarysowane powyżej tło ekosystemu reklamy behawioralnej pokazuje, że przetwarzanie 
danych wiąże się z wysokim ryzykiem naruszenia ochrony danych Skarżącej, 
w szczególności art. 5, 6, 9, 12, 13, 24 i 25 RODO. 


25. W naszej opinii kwestią, która zasługuje na szczególne zbadanie, jest zgodność 
z przepisami Systemu i regulujących go Wytycznych Google. Poniżej opisujemy nasze 
główne zastrzeżenia w świetle zasad wynikających z RODO. 


26. Zgodność z prawem, rzetelność i przejrzystość przetwarzania danych 


a. 


Z przewidzianych w art. 6 RODO podstaw prawnych do przetwarzania danych na 
rynku reklamy behawioralnej zastosowanie mogą mieć dwie: zgoda lub 
uzasadniony interes. 


Oparcie przetwarzania na uzasadnionym interesie administratora 
w kontekście licytacji na giełdzie reklam jest niewłaściwe. Uzasadniony 
interes nie jest bowiem absolutny — administrator nie może się powołać na tę 
podstawę prawną w sytuacjach, „w których nadrzędny charakter wobec tych 
interesów mają interesy lub podstawowe prawa i wolności osoby, której dane 
dotyczą, wymagające ochrony danych osobowych”. Biorąc pod uwagę 
potencjalny wpływ na prawa i wolności podmiotów danych, rozpowszechnianie 
danych osobowych użytkownika do szerokiego katalogu podmiotów trzecich, 
rodzące niewiadome skutki i pozbawione odpowiednich gwarancji nie może 
zostać uznane jako niezbędne do celów wynikających z prawnie uzasadnionych 
interesów. 


Właściwą podstawą przetwarzania danych na rynku reklamy behawioralnej jest 
zgoda. Sposób zbierania zgody przez wiele portali internetowych jest jednak 
wątpliwy - często za wyraźną, potwierdzającą czynność zmierzającą do 
wyrażenia zgody uznawane jest zamknięcie okienka zawierającego informację o 
przetwarzaniu danych i przekazywaniu ich tzw. Zaufanym Partnerom, tj. setkom 
podmiotów uczestniczącym w licytacjach na giełdach reklam. Okienka te zostały 
zaprojektowane z wykorzystaniem tzw. dark patterns, czyli takich technik 
projektowania interfejsu, który skłania użytkownika do wyrażenia zgody. 
Przykładowo, aby zgodzić się na śledzenie i profilowanie przez setki podmiotów 
z branży reklamy behawioralnej wystarczy zamknąć okienko lub kliknąć duży, 
kolorowy przycisk „przejdź do serwisu”. Aby nie wyrazić zgody, użytkownik 
musi wejść w „ustawienia zaawansowane”, a następnie wybrać odpowiednie 
ustawienie prywatności, zamiast po prostu wybrać opcję „nie wyrażam zgody” na 
głównej planszy. Naszym zdaniem taki sposób zbierania zgody jest 
niezgodny z RODO. 


W myśl art. 9 RODO, przetwarzanie danych szczególnie chronionych wymaga 
wyraźnej zgody (jeśli brak jest możliwości zastosowania innych przewidzianych 
w art. 9 podstaw prawnych). Tym niemniej, Wytyczne Google umożliwiają 
branży przetwarzanie danych wrażliwych bez zgody użytkownika. 


Wyraźna zgoda jest także wymagana do takiego przetwarzania, które skutkuje 
automatycznym podjęciem decyzji wobec jednostki. Jak wskazała Grupa Robocza 
Art. 29 w wytycznych w sprawie zautomatyzowanego podejmowania decyzji 
(WP251), przetwarzanie danych w celu wyświetlenia reklamy behawioralnej 


może mieć istotne skutki dla osoby, której dane dotyczą”. Skutki reklamy 
behawioralnej mogą być szczególnie dotkliwe np. w przypadku osoby, do której 
kierowana jest reklama usług, które mogą przynieść jej szkodę, np. usług 
hazardowych czy chwilówek. System nie przewiduje takiej możliwości, nie 
gwarantują też praw przewidzianych w art. 22 RODO. 


Wyświetlanie użytkownikom spersonalizowanej reklamy wymaga wyróżnienia 
danego użytkownika na tle innych (tzw. koncepcja single out), w oparciu o 
identyfikatory związane z urządzeniem. Dostęp do tych identyfikatorów i ich 
odtworzenie przez użytkowników w celu zarządzania informacjami, które 
przechowują administratorzy, nie są proste. Użytkownik nie zna tego numeru 
(każdy podmiot nadaje mu odrębny identyfikator, o którym użytkownik 
nie jest informowany), co uniemożliwia realizację uprawnień 
przewidzianych w RODO. Konsekwencją jest poważna asymetria informacyjna 
pomiędzy użytkownikiem a podmiotami biorącymi udział w licytacjach na 
giełdach reklam. 


Ta sytuacja jest elementem szerszego problemu bezpośrednio związanego z 
zasadą rzetelności i przejrzystości przewidzianą w RODO: administratorzy 
danych mają prosty dostęp do identyfikatorów użytkowników, podczas gdy 
użytkownicy nie mają realnej możliwości kontrolowania lub 
wykorzystywania tych identyfikatorów. 


Na brak przejrzystości i nieprawidłowe informowanie użytkowników 
o przetwarzaniu danych w celu dopasowywania reklam w przypadku mobilnego 
systemu operacyjnego Android, którego właścicielem jest Google, zwrócił uwagę 
francuski organ ochrony danych osobowych w decyzji z 21 stycznia 2019 r., 
nakładając na Google karę w wysokości 50 mln eurot. 


27. Ochrona danych w fazie projektowania i domyślne ustawienia prywatności (privacy by 
design i privacy by default) 


a. 


Jak wskazaliśmy powyżej, administratorzy danych mają prosty dostęp do danych 
użytkowników, podczas gdy użytkownicy nie mają realnej możliwości 
zweryfikowania, jak te dane są wykorzystywane. Kluczową trudnością jest samo 
zidentyfikowanie podmiotu, który przetwarza dane oraz identyfikatorów, 
którymi się posługuje. Nawet jeśli użytkownikowi uda się to ustalić podmioty 
biorące udział w licytacjach na giełdzie reklam bardzo często nie realizują one 
praw użytkowników, choćby prawa dostępu do danych, argumentując, że 
podanie internetowego identyfikatora nie wystarczy do zidentyfikowania 
konkretnej osoby. Praktyka pokazuje, że wiele firm z branży reklamy 
behawioralnej nie respektuje również ustawień „do not track”, które użytkownik 
wybrał w przeglądarce. Takie zaprojektowanie Systemu narusza art. 25 
RODO, który zobowiązuje administratorów do uwzględniania ochrony danych 





10 Np. biorąc pod uwagę głębokość profilowania, w tym śledzenie jednostek na różnych stronach, urządzeniach i 
w różnych usługach, oczekiwania jednostek czy wykorzystywanie wiedzy o słabościach osoby, której dane 


dotyczą. 


l https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google- 





llc. 
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(w tym praw jednostek, które przewiduje RODO) już na etapie projektowania 
czynności przetwarzania i systemów, z których korzystają. 


Warto zauważyć, że System Google powstał przed wejściem w życie RODO, 
kiedy w branży powszechny był pogląd, że identyfikatory internetowe 
i związane z nimi informacje nie stanowią danych osobowych. W związku 
ztym, przy projektowaniu Systemu nie wzięto pod uwagę ochrony danych. 
Dostosowanie Systemu do nowego reżimu ochrony danych osobowych polegało 
nie na technicznym przeprojektowaniu systemu czy też zmianie sposobu jego 
funkcjonowania, tam gdzie rodzi on ryzyko dla ochrony prywatności, ale na 
takiej interpretacji przepisów - skądinąd wątpliwej - która zmierza 
do dopasowania już działających struktur technicznych do nowych ram 
prawnych. 


28. Integralność i poufność 


a. 


Wytyczne Google nie przewidują odpowiedniej ochrony przed 
nieautoryzowanym i potencjalnie nieograniczonym ujawnianiem 
i przetwarzaniem danych osobowych. 


Wytyczne Google, naruszają przewidzianą wart. 5 ust. 1 lit. 7 RODO zasadę 
integralności i poufności danych, w szczególności poprzez: 


1. brak wymogu poinformowania podmiotów danych 
o rozpowszechnieniu ich danych lub o zamiarze 
rozpowszechnienia ich danych do każdego odbiorcy; 


2. brak przyznania użytkownikom możliwości zakomunikowania 
podmiotom trzecim swoich preferencji co do tego, w jaki sposób 
ich dane mogą być wykorzystywane; 

3. brak formalnego prawa sprzeciwu wobec wykorzystywania 


danych przez poszczególne podmioty trzecie; 


4. brak wystarczającej kontroli zmierzającej do zapobiegania 
nielegalnemu i/lub nieautoryzowanemu dalszemu 
wykorzystywaniu danych. 


29. Minimalizacja, prawidłowość i ograniczenie przechowywania 


a. 


Liczba podmiotów, które otrzymują dane użytkownika, i brak realnych 
ograniczeń co do dalszego przetwarzania przez nie danych, rodzą poważne 
ryzyko wystąpienia negatywnych konsekwencji dla autonomii informacyjnej 
użytkowników. 


Wytyczne Google przewidują, że dane osobowe (wykorzystywane nawet przy 
okazji tylko jednej licytacji) będą przechowywane przez 18 miesięcy. Tak długi 
czas przechowywania danych ujawniających aktywność użytkownika w sieci, 
ułatwia budowanie dokładnych profili użytkowników. Z uwagi na brak realnych 
procedur kontrolnych (por. pktIII.2.b), nawet po upływie 18 miesięcy 
użytkownik nie ma gwarancji, że jego dane zostały usunięte, w związku 
zczym istnieje ryzyko, że dane będą bezpodstawnie przechowywane 
i wykorzystywane przez dłuższy czas. 
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30. Ocena skutków dla ochrony danych 


a. Biorąc pod uwagę szeroki zakres przetwarzanych danych oraz dużą liczbę 
podmiotów, które mają do nich dostęp, przetwarzanie danych na rynku reklamy 
behawioralnej może powodować wysokie ryzyko naruszenia praw lub wolności 
osób fizycznych. W takich przypadkach art. 35 RODO wymaga przeprowadzenia 
oceny skutków przetwarzania dla ochrony danych. Z naszych informacji nie 
wynika, aby taka ocena została przeprowadzona lub udostępniona informacji 
publicznej. 


VI. Podsumowanie 


31. Funkcjonowanie Systemu rodzi poważne zagrożenia dla ochrony danych osobowych 
i autonomii informacyjnej użytkowników Internetu, w tym autonomii informacyjnej 
Skarżącej. Poszczególne podmioty na rynku reklamy behawioralnej współpracują 
ze sobą i czerpią z tego finansowe korzyści, ale za zagrożenia te odpowiedzialny jest 
przede wszystkim sam kształt Systemu stworzony przez Google. 


32. Z tego powodu wnosimy do Prezesa Urzędu Ochrony Danych Osobowych jak we wstępie. 


33. Jednocześnie deklarujemy gotowość do przekazania Prezesowi wyjaśnień i wszelkich 
dodatkowych informacji niezbędnych do podjęcia działań. 


W imieniu Skarżącej 





Małgorzata Szumańska 


Wiceprezeska Fundacji Panoptykon 
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Załącznik nr 4: Treść skarg złożonych w Irlandii i Wielkiej Brytanii 


Załącznik nr 5: Odpowiedź Prezesa UODO z dnia 10 stycznia 2019 r. na wystąpienie Fundacji 
Panoptykon w sprawie brokerów danych 


Załącznik nr 6: Raport techniczny opisujący funkcjonowanie Systemów RTB 
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